O ataque ao STJ é mais um grito de socorro da segurança cibernética no Brasil
Na era das instituições e serviços públicos digitais, o ataque à base de dados de processos do STJ é só mais um doloroso lembrete de que devemos tratar a segurança da informação com a mesma prioridade que tratamos a segurança em sentido amplo.
terça-feira, 10 de novembro de 2020
Atualizado às 09:26
Como foi noticiado na última semana, a base de dados de processos em andamento do Superior Tribunal de Justiça foi alvo de um ataque de ransomware. Trata-se de um tipo de malware (software malicioso, popularmente conhecido como "vírus") que codifica os dados do sistema afetado, tornando-os inacessíveis pela vítima até o pagamento de um "resgate", normalmente na forma de transferência de criptomoedas.
O acesso aos processos foi recuperado e os danos, na melhor das hipóteses, se limitaram à paralisação do Tribunal por cerca de seis dias. Há ainda o risco de vazamento dos dados por parte dos autores da invasão. De qualquer forma, a mera possibilidade do Tribunal ter ficado indisponível por tempo ainda maior exige que esse caso seja lembrado como mais um alerta de que a segurança cibernética não está sendo tratada com a devida seriedade nos órgãos públicos brasileiros.
A digitalização de serviços e órgãos públicos é uma tendência global que foi impulsionada em 2020, dada a necessidade de acesso remoto durante a pandemia. Só neste ano, no Brasil, mais de 250 serviços públicos foram transformados em digitais, visando a redução dos impactos negativos do distanciamento social. A importância desse fenômeno não pode ser subestimada. Digitalizar serviços traz eficiência, reduzindo burocracias e ampliando o acesso.
No caso do STJ, a digitalização foi muito anterior. O Tribunal liderou o judiciário com o projeto "STJ na Era Virtual", que, já em 2009, aliou o desenvolvimento de um sistema de tramitação eletrônica de processos a um mutirão de digitalização de processos físicos. O "e-STJ", resultado do projeto, trouxe tramitação mais rápida entre instâncias e redução de custos de transporte, impressão e armazenamento de papel. Hoje, 10 anos depois, o processo eletrônico e de tramitação totalmente digital é regra nos tribunais de todo o país, consolidando a merecida vitória desse modelo.
A era da digitalização, contudo, também é a era dos ciberataques. Sistemas digitais trazem eficiência, mas também trazem mais oportunidades para invasões maliciosas. Quando os sistemas são complexos, contêm dados valiosos e envolvem a participação de muitas pessoas, suas vulnerabilidades se tornam alvo preferencial de agentes mal intencionados com motivação econômica ou até política.
Os ransomware são, já há um tempo, uma das ameaças mais comuns a sistemas públicos e privados no mundo inteiro. A obtenção desse tipo de malware por criminosos exige apenas que eles saibam onde procurar na Internet. A invasão só precisa encontrar uma vulnerabilidade: um sistema operacional ou aplicativo desatualizado, uma falha na configuração de um servidor ou até o despreparo de um usuário com poder de acesso ao sistema, que pode ter suas credenciais obtidas pelo criminoso, por exemplo, por meio de link em um e-mail fraudulento. A comunicação entre o criminoso e a vítima, assim como o pagamento do resgate, se dão por meios que dificultam o rastreamento e o trabalho da polícia. Juntas, essas características tornam os custos para o invasor baixíssimos se comparados aos potenciais retornos financeiros.
Do lado da vítima, porém, os custos podem ser incalculáveis, extrapolando o âmbito econômico. Se não houver cópia de backup dos arquivos codificados pelo vírus, o alvo pode ficar paralizado até pagar o "resgate", o que não garante que o criminoso reverterá o processo. No caso de uma empresa de pequeno porte, isso pode significar o fim de suas atividades, mas no caso de um órgão público, como um tribunal ou um hospital, isso pode significar a incapacidade do Estado de cumprir seu papel de efetivar direitos fundamentais, como o direito ao acesso à justiça e o direito à saúde. O exemplo extremo aconteceu em setembro deste ano, na Alemanha, quando uma pessoa morreu por não poder ser atendida a tempo por um hospital paralizado por ransomware.
O que mais impressiona no ataque ao STJ é que justamente uma das instituições mais importantes para o funcionamento do Judiciário brasileiro e mais experientes no campo da digitalização se revelou despreparada para lidar com um problema que já tem vários anos de vida. Já em 2017, quando o ransomware WannaCry causou danos milionários em todo o globo, tribunais brasileiros e outros órgãos públicos foram atingidos, ainda que em menor escala. Hoje, o Brasil é líder global em número de empresas atacadas por ransomware durante a pandemia. Ciberataques desse tipo não são novos no país e as estratégias de prevenção já deveriam estar difundidas.
Hoje nossa dificuldade não é necessariamente legislativa, mas sim de efetivação. O país ainda está engatinhando nesse setor, mas promulgou ainda este ano uma Estratégia Nacional de Segurança Cibernética que reconhece expressamente a proliferação desses ataques, propõe a criação de um sistema de governança da segurança cibernética e cobra dos órgãos e entidades da administração pública federal a execução de ações estratégicas como a capacitação de servidores públicos e o incentivo econômico à soluções inovadoras. Mesmo a Lei Geral de Proteção de Dados, que acaba de entrar em vigor e tem como enfoque a proteção de dados pessoais, contém orientações para que os controladores desses dados garantam padrões mínimos de proteção.
Se uma lição pode ser extraída do mais recente e talvez mais grave ciberataque da história da administração pública brasileira, é que as estratégias de prevenção trazidas por essas normativas e por especialistas não podem ser adiadas, tratadas como irrelevantes ou dispensadas por seu custo. Em um mundo digitalizado, segurança cibernética e segurança em sentido amplo se confundem, de forma que a primeira deve ser tratada com a mesma seriedade que a segunda. Do contrário, a marcha pela digitalização, desburocratização e eficiência dos serviços públicos só pode resultar em um abismo de vulnerabilidade.
______________
*João Pedro Favaretto Salvador é mestrando em Direito Penal e Bacharel pela Faculdade de Direito da USP. Pesquisador do Centro de Ensino e Pesquisa em Inovação da FGV Direito SP. Responsável por pesquisas nas áreas de Cibersegurança e Liberdade de Expressão on-line.
*Tatiane Guimarães é graduada em Direito pela Pontifícia Universidade de São Paulo - PUC/SP. Pesquisadora no Centro de Ensino e Pesquisa em Inovação da FGV Direito SP. Desenvolve pesquisa nas áreas de Direitos Humanos Digitais; Direito Autoral e Ensino Jurídico.